Início / ubuntu / Perguntas / 1522581
Accepted
u4963840
Asked: 2024-08-06 08:06:28 +0800 CST

Como fazer com que a regra do AppArmor evite a exclusão em um diretório específico para todos os aplicativos em vez de um aplicativo específico?

  • 772

Quero negar permissão de exclusão para tudo o que está em /home/don/testdir ou em seus subdiretórios para todos os aplicativos, sem impedir a criação ou gravação. Pelo que entendi, isso não é possível com a ACL convencional porque a permissão de gravação é tudo (criar + gravar + excluir) ou nada, não posso negar apenas excluir enquanto permite criar e gravar.

Eu tentei chattr +apara esse diretório, mas se depois de executar este comando o subdiretório for adicionado e nesse subdiretório o arquivo for adicionado, isso não impedirá a remoção desse arquivo, por exemplo testdir/subdir/file.txt.

Sou novo no AppArmor. Tentei criar a seguinte regra e salvá-la como /etc/apparmor.d/home.don.testdirmas não funcionou

# Profile to prevent any process from deleting files in /home/don/testdir

profile prevent-delete {
    # Allow read, write, and execute within the directory
    /home/don/testdir/ rix,
    /home/don/testdir/** rwlix,

    # Explicitly deny delete operations
    deny /home/don/testdir/** D,
}

Recebi um erro do analisador AppArmor para /etc/apparmor.d/home.don.testdir no perfil /etc/apparmor.d/home.don.testdir na linha 9: erro de sintaxe, TOK_ID inesperado, esperando TOK_MODE.

permissions

1 respostas

  1. Best Answer

    Dnão é um modo de acesso conhecido e, portanto, é inválido. É por isso que sua regra não é analisada corretamente.

    Além disso, o AppArmor não tem o conceito de "negar exclusão" pela minha leitura das páginas de manual em seu sistema de políticas.

    Você pode consultar a página de manual do AppArmor sobre estrutura de políticas (consulte https://manpages.ubuntu.com/manpages/noble/man5/apparmor.d.5.html , que é a página de manual 24.04 para saber como os perfis do AppArmor são configurados) para saber como as coisas funcionam nas políticas do AppArmor.

    Estes são os modos de acesso conhecidos pelo AppArmor (cortei a maioria dos dados que não são relevantes para sua pergunta) e o que denypode ser aceito como modos de acesso:

    Access Modes Details
       r - Read mode
           Allows the program to have read access to the file or directory listing. Read access
           is required for shell scripts and other interpreted content.

       w - Write mode
           Allows the program to have write access to the file. Files and directories must have
           this permission if they are to be unlinked (removed.)  Write mode is not required on a
           directory to rename or create files within the directory.

           This mode conflicts with append mode.

       a - Append mode
           Allows the program to have a limited appending only write access to the file.  Append
           mode will prevent an application from opening the file for write unless it passes the
           O_APPEND parameter flag on open.

           The mode conflicts with Write mode.

       ux - Unconfined execute mode

       Ux - unconfined execute -- scrub the environment

       px - Discrete Profile execute mode

       Px - Discrete Profile execute mode -- scrub the environment

       cx - Transition to Subprofile execute mode

       Cx - Transition to Subprofile execute mode -- scrub the environment

       ix - Inherit execute mode

    O mais próximo que você chegaria de um modo "sem exclusão" seria permitir o modo de acréscimo e proibir o modo de gravação, pois o modo de gravação inclui a capacidade de exclusão.

    No entanto, isso pode interromper seus aplicativos que usam esses arquivos porque nem todos os aplicativos chamam opensyscalls ou similares com a opção APPEND habilitada.

    • 1

relate perguntas